In den vergangenen Monaten haben verschiedene kantonale Regierungen Entscheide zur Nutzung von «Microsoft 365» (M365) in der Verwaltung publiziert. Der Beschluss des Regierungsrats des Kantons Zürich (RRB 542/2022 vom 30. März 2022) hat dabei eine breite Aufmerksamkeit gefunden.
privatim hat im Februar 2022 ein «Merkblatt Cloud-spezifische Risiken und Massnahmen» publiziert, das den öffentlichen Organen insbesondere auch die Beurteilung des Einsatzes von M365 ermöglichen soll. Der Entscheid des Regierungsrates des Kantons Zürich bedeutet für die öffentlichen Organe grundsätzlich nicht, dass sie vom Inhalt und dem empfohlenen Vorgehen in diesem Merkblatt abweichen können. Dies wird in Äusserungen zum Entscheid suggeriert, weshalb privatim sich veranlasst sieht, zu einigen Punkten des RRB, die in diesem Sinne eine Wirkung über den Kanton Zürich hinaus haben, Stellung zu beziehen.
Entscheid (Dispositiv)
Der Regierungsrat hält fest, dass der Einsatz von M365 zugelassen wird (Dispositiv Ziffer I). Diese Feststellung deckt sich mit den datenschutzrechtlichen Bestimmungen, wonach Datenbearbeitungen durch Dritte – auch Cloud-Lösungen – unter bestimmten Voraussetzungen zugelassen sind.
In Ziffer II des Dispositivs hält der Regierungsrat implizit fest, dass die öffentlichen Organe ein Informationssicherheits- und Datenschutzkonzept (ISDS-Konzept) zu erstellen haben. Darin haben sie auch die Risiken eines ausländischen Lawful Access auszuweisen. Ein ISDS-Konzept (nach Hermes) enthält das Verzeichnis der sicherheitsrelevanten Dokumente, die Einstufung der Datenbearbeitung aufgrund der Schutzbedarfsanalyse, die sicherheitsrelevante Systembeschreibung, die Risikoanalyse mit Restrisiken, das Notfallkonzept, das Bearbeitungsreglement, die Einhaltung/Überprüfung der Schutzmassnahmen, Test und Abnahme der Informationssicherheitsfunktionen sowie die Liquidation. Damit weicht der Regierungsrat nicht von der methodischen Vorgehensweise im datenschutz- rechtlichen Sinne ab.
Ergänzend hält der Regierungsrat fest, dass bei «90%-Eintrittswahrscheinlichkeit eines erfolgreichen Lawful Access bei unter 100 Jahren» (Dispositiv Ziffer II Abs. 2) das öffentliche Organ die Zulassung der risikobewerteten Cloud-Lösung dem Regierungsrat vorzulegen hat. Das Herausstreichen dieses Aspekts erscheint stark übergewichtet, da der ausländische Lawful Access nur Teil der Cloud-spezifischen Risiken darstellt und eine statistische Wahrscheinlichkeit für die Frage der Zulässigkeit dieses Zugriffs keine Rolle spielt.
Im Übrigen sollen die öffentlichen Organe prüfen, ob neben einer allgemeinen Nutzungsrichtlinie für M365 weitere übergeordnete Richtlinien zu erlassen wären (Dispositiv Ziffer III). Damit deutet er an, dass unter Umständen weitergehende Vorgaben nötig sind, damit die einzelnen Organe spezifische Services von M365 datenschutzkonform nutzen können. Dies ist zu begrüssen, ebenso die Tatsache, dass der Regierungsrat die Stelle eines/r Cloud-Sicherheitsbeauftragten schafft, da Cloud-Lösungen stark zunehmend sind und generell auch die Cyberrisiken (Dispositiv Ziffer IV).
Begründung
Die Begründung des Entscheids wirkt ausgesprochen unausgewogen.
Grundsätzlich hält der Regierungsrat fest, dass in Bezug auf die Einführung von Cloud-Lösungen keine Rechtsgrundlagen geändert oder geschaffen werden müssen: «Es besteht kein Regelungsbedarf, sondern die geltenden Bestimmungen sind bei der Einführung einzuhalten» (S. 2). Deshalb müssen die Anforderungen an die Informationssicherheit und den Datenschutz mit der Schutzbedarfsanalyse bereits vor der Projektfreigabe erhoben werden, und bei einem erhöhten Schutzbedarf ist ein ISDS-Konzept zu erstellen, die Sicherheitsmassnahmen sind festzulegen und die Restrisiken sind aufzuzeigen (S. 2). Dazu gehört auch die Rechtsgrundlagenanalyse.
Mit diesem Vorgehen wird sichergestellt, dass die datenschutzrechtlichen Anforderungen an Cloud-Lösungen, wie sie das Merkblatt von privatim konkretisiert, berücksichtigt werden. Der Regierungsrat delegiert diese Aufgabe an die einzelnen öffentlichen Organe (Dispositiv Ziffer II).
Des Weiteren äussert sich der Regierungsrat zu den Cloud-spezifischen Risiken und stellt fest, dass bei Cloud-Lösungen grundsätzlich nicht höhere Risiken für die Informationssicherheit und den Datenschutz als bei On-Premises-Lösungen bestünden (S. 3). Ebenso stellt er fest, dass die Risiken der Offenlegung vertraulicher Informationen durch unerlaubte und illegale Zugriffe bei einer Cloud-Lösung tendenziell eher geringer seien, als wenn die Daten on premises gehalten werden (S. 7 f.). Diese Aussagen sind angesichts der diversen zusätzlichen Risiken nicht nachvollziehbar.
So hat der Regierungsrat auf den mit der Cloud-Lösung verbundenen Kontrollverlust nur die Bemerkung übrig, dass durch die Nutzung einer Cloud-Lösung betriebliche Aspekte und Verantwortlichkeiten, auch hinsichtlich Sicherheit, an den Anbieter übergingen, womit sie nicht mehr unmittelbar im Einflussbereich des Kunden liegen würden: «Müssten solche Risiken gänzlich ausgeschlossen werden, würde jegliche Art der Datenbearbeitung verunmöglicht» (S. 9).
Es liegt aber in der Pflicht der öffentlichen Organe, die einzelnen Risiken für die Grundrechte der betroffenen Personen zu eruieren und die angemessenen Massnahmen zu treffen, um den Kontrollverlust zu minimieren. Privatim führt in seinem Merkblatt aus, wie die Risikoanalyse detailliert zu erfolgen hat, dass die Risiken verstanden werden müssen und dass das Restrisiko vom Regierungsrat zu übernehmen wäre. Zudem sei darzulegen, durch welche unverzichtbaren Vorteile des Cloud-Dienstes gegenüber einer gleichwertigen Lösung on premises sowie gegenüber risikoärmeren Produkten anderer Anbieter die neuen Risiken aufgewogen würden. Eine solche umfassende Risikoanalyse und -übernahme sowie eine nachvollziehbare Begründung erfolgen hier aber nicht.
Dafür findet sich in der Begründung ein ausführliches Kapitel zum ausländischen Lawful Access, wie er durch den CLOUD Act bei amerikanischen Unternehmen möglich ist. Dabei wird festgehalten, dass in der Praxis ein derartiges Szenario höchst unwahrscheinlich sei, und es sei im Bereich der öffentlichen Hand gemäss Auskunft von Microsoft vom 7. Dezember 2021 noch nie zur Offenlegung von Daten europäischer Kunden durch Microsoft gekommen (S. 4). Tatsächlich ist dies nicht sehr repräsentativ, weil die öffentlichen Organe erst jetzt daran sind, die Auslagerung von Daten in die Cloud zu prüfen, so dass Zugriffe auf deren Daten bisher noch gar nicht vorkommen konnten. Generell ist bei Prognosen gestützt auf die Vergangenheit Vorsicht angebracht, namentlich wenn geopolitische Veränderungen und andere aussergewöhnlichen Ereignisse ausser Acht gelassen werden.
Weiter ist zu beachten, dass ein auf den CLOUD Act gestützter Zugriff auf Personendaten in der Schweiz unabhängig von seiner statistischen Wahrscheinlichkeit widerrechtlich ist und den Daten- und ggf. Geheimnisschutz verletzt. Deshalb kann ein Verzicht auf risikosenkende Massnahmen nicht allein damit begründet werden, dass der Zugriff hinreichend unwahrscheinlich ist.
Beim ausländischen Lawful Access handelt es sich um einen kleinen Teilaspekt in der Risikoanalyse, der über die zu treffenden technischen und organisatorischen Massnahmen oder – sofern diese nicht genügen – einen Verzicht auf die Auslagerung entscheiden kann.
Auf jeden Fall können die Ausführungen zum ausländischen Lawful Access nicht die anfangs erwähnten Schritte wie Rechtsgrundlagenanalyse, Schutzbedarfsanalyse sowie Risikoanalyse mit den Restrisiken und den Massnahmenplan ersetzen.
Die abschliessende Bemerkung in der Begründung, dass insgesamt in Bezug auf M365 keine erheblichen Restrisiken, weder durch Lawful Access noch andere Faktoren, ermittelt worden seien, die einen Verzicht auf die Einführung der Cloud-Lösung aufdrängen, erstaunt. Einerseits ist der Lawful Access nur ein Teilaspekt und andererseits wurden andere (wesentliche) Faktoren, wie sie im Merkblatt von privatim dargestellt werden, nicht erörtert. Zudem ist der Verzicht auf Cloud-Lösungen nie zur Debatte gestanden.
Fazit
Der Entscheid des Regierungsrats des Kantons Zürich ist kein Freipass für die Einführung von M365 in der Verwaltung. Zunächst ist zu beachten, dass bereits der Regierungsrat davon ausgeht, dass die Erstellung und Bearbeitung von Dokumenten mittels Word, Excel und PowerPoint weiterhin mit lokal installierten Versionen jener Anwendungen erfolgt und nicht mit Cloud-Services (S. 6); zudem ist in Exchange Online eine Verschlüsselungsmöglichkeit vorgesehen – und somit auch zu nutzen –, bei der die Verschlüsselung on premises unter der ausschliesslichen Hoheit des Kantons Zürich erfolgt (S. 5).
Sodann übernimmt der Regierungsrat in diesem Entscheid keine eigene Verantwortung für die Einführung, sondern delegiert diese an die einzelnen öffentlichen Organe, die im Rahmen eines ISDS- Konzepts die erforderlichen Abklärungen zu treffen haben (Verzeichnis der sicherheitsrelevanten Dokumente, Einstufung der Datenbearbeitung aufgrund der Schutzbedarfsanalyse, sicherheitsrelevante Systembeschreibung, fundierte Risikoanalyse mit Restrisiken, Notfallkonzept, Bearbeitungsreglement, Einhaltung/Überprüfung der Schutzmassnahmen, Test und Abnahme der Informationssicherheitsfunktionen sowie Liquidation).
So ist die Begründung des Entscheids keinesfalls für die Bewertung einer Cloud-Lösung wie M365 ausreichend. Sie nimmt Elemente der Beurteilung einer Cloud-Lösung auf, bietet aber bei weitem kein Gesamtbild, wie dies ein ISDS-Konzept beinhalten müsste.
Die Ausführungen von privatim im «Merkblatt Cloud-spezifische Risiken und Massnahmen» sowie die in dessen Anhang erwähnten Merkblätter einzelner Datenschutzbehörden bleiben für die öffentlichen Organe die Richtlinie für die Beurteilung und Einführung von Cloud- Lösungen – inklusive M365.